MAGERIT: metodologa prctica para gestionar riesgos
Cuando se habla de gestionar la seguridad de la informacin, en lo que generalmente se piensa es en la
serie de normas ISO 27000. Pero puntualmente para la gestin de riesgos ha otras alternati!as que pueden audar a la empresa. "na parte fundamental dentro de la gestin de la seguridad de la informacin, es conocer controlar los riesgos a los cuales est# e$puesta la informacin de la compa%&a. Cuando las empresas buscan como implementar modelos de gestin de seguridad suelen adoptar metodolog&as que las que les brinden un marco de traba'o definido que facilite la administracin de los riesgos adem#s permita me'orarla. Si bien ISO 27005 e ISO !000 son los est#ndares m#s conocidos para la gestin de riesgos, e"isten otros instr#mentos $#e estando alienados con estos estndares % $#e &acilitan a #na empresa en&ocarse en implementar 'erramientas % metodologas que satisfagan los requerimientos b#sicos de la administracin de riesgos en sus sistemas de informacin. (n este sentido fue desarrollado )*+(,I- una metodolog&a de an#lisis gestin de riesgos elaborada por el Consejo Superior de Administracin Electrnica de Espaa, que ofrece un m.todo sistem#tico para anali/ar los riesgos deri!ados del uso de tecnolog&as de la informacin comunicaciones para de esta forma implementar las medidas de control ms adec#adas $#e permitan tener los riesgos mitigados. *dem#s de esto, cuenta con todo un documento que re0ne t.cnicas e'emplos de cmo reali/ar el an#lisis de riesgos. Puntualmente MAGERIT se (asa en anali)ar el impacto $#e p#ede tener para la empresa la *iolaci+n de la seg#ridad, buscando identi&icar las amena)as que pueden llegar a afectar la compa%&a % las *#lnera(ilidades que pueden ser utili/adas por estas amena/as, logrando as& tener una identificacin clara de las medidas pre!enti!as correcti!as m#s apropiadas. 1o interesante de esta metodolog&a, es que presenta #na g#a completa % paso a paso de cmo lle!ar a cabo el an#lisis de riesgos. (sta metodolog&a est# di!idida en tres libros. (l primero de ellos hace referencia al ).todo, donde se describe la estructura que debe tener el modelo de gestin de riesgos. Este li(ro est de ac#erdo a lo $#e propone ISO para la gesti+n de riesgos. (l segundo libro es un Cat#logo de (lementos, el cual es una especie de in*entario $#e p#ede #tili)ar la empresa para en&ocar el anlisis de riesgo. (s as& como contiene una di!isin de los acti!os de informacin que deben considerarse, las caracter&sticas que deben tenerse en cuenta para !alorar los acti!os identificados adem#s un listado con las amena/as controles que deben tenerse en cuenta. 2inalmente el tercer libro es una +u&a de -.cnicas, lo cual lo con!ierte en un &actor di&erenciador con respecto a otras metodologas. (n este tercera parte se descri(en di&erentes t,cnicas &rec#entemente #tili)adas en el anlisis de riesgos. -ontiene e.emplos de anlisis con tablas, algoritmos, #rboles de ataque, an#lisis de costo beneficio, t.cnicas gr#ficas buenas pr#cticas para lle!ar adelante sesiones de traba'o para el an#lisis de los riesgos. Esta metodologa es m#% /til para a$#ellas empresas $#e inicien con la gesti+n de la seg#ridad de la in&ormaci+n, pues permite enfocar los esfuer/os en los riesgos que pueden resultar m#s cr&ticos para una empresa, es decir aquellos relacionados con los sistemas de informacin. 1o interesante es que al estar alineado con los est#ndares de ISO es que su implementacin se con!ierte en el p#nto de partida para #na certi&icaci+n o para me.orar los sistemas de gesti+n.